大清朝宣统帝溥仪
为什么大多数手机开机第一次解锁不能用指纹先说结论:指纹是一种不够安全的身份认证方式。
确切来说,所有基于生物特征的身份认证,包括人脸识别、声纹识别、静脉识别等等,都是不够安全的。
不安全到什么程度呢?业内共识是:生物特征不能作为唯一认证手段。
密码有成为唯一认证手段的资格,U盾、ID卡这些也没问题。换句话说,你的某个帐号可以只用密码保护、也可以只用U盾;但如果设计成没有密码、只用指纹认证就能访问,对不起,安全不合格。
单说这个问题的话:为什么手机重启后必须输入一次密码,不能直接用指纹解锁?有人回答说因为指纹信息是用密码保护的,得输入密码才能读取指纹。但这只回答了一半,之所以这么做,仍然是因为指纹不够安全。如果哪款手机重新开机后直接能用指纹解锁,说明它的安全性是低于行业一般水平的。
为什么它不安全?让我们从头开始详细讲讲吧。
身份认证是自古就有的安全机制。口令、印信、花押,无论哪种首先都是为了解决「你是谁」的问题,这一步之后才是「允许你做什么」。
认证因素五花八门,并且随着科技进步一直在增加。但大体上分为三类:
你知道的:如密码、安全问题的答案、PIN码、解锁图案等,属于用户知识的一部分;
你拥有的:如ID卡、令牌、U盾、能接收验证码的手机等,属于用户携带的物品和所包含的信息;
你自身的:如指纹、虹膜、面部特征、声纹、DNA、字迹、打字习惯等,属于用户自身特征和行为习惯的一部分。
以指纹为代表的用户生物特性都属于「你自身的」这类。而它们之所以被业界公认为不够安全,有以下四个决定性的原因:
易复制和窃取
与人类的记忆不同,生物特性大部分是暴露在外的。用照片骗过人脸识别设备的新闻也不止一两次了;在杯子、桌子、键盘上到处都印着你的指纹,提取复制一枚指模可能只需要几十分钟时间。更夸张的是,你甚至不用接触到本人,只需足够清晰的照片就能复制出指纹来。
哪怕是虹膜、静脉、DNA这种肉眼不可见的信息,也能够通过专用设备提取出来——如果不能提取还怎么验证呢?
无法修改
每次大规模密码泄漏事件后各大网站纷纷提醒大家更换自己的常用密码。但如果指纹信息泄漏呢?手指只有十根,这种事多来几次就只能号召大家砍手了。面部信息呢?难道要整容么?
生物信息不可变的属性是它能成为身份认证因素的理由,但数字化时代的到来,反而成了最大的隐患。这也是苹果等各大厂商对此十分谨慎的理由。
容错范围大
与精确的文字密码或数字证书比起来,指纹、面部、声音等信息必须从生物体上实时获取,而这个过程不可能是完全准确的。必然会存在以下两个几率:
一是拒真率(FRR),即应该通过认证的被拒绝;
一是认假率(FAR),即不该通过认证的通过了。
识别模块的技术参数往往都是FRR小于万分之一、FAR小于百万分之一左右。但这只是理论,实际应用中为了能识别出油污的手指、低光照下化妆的脸、嘈杂充满噪音的环境,必然会放宽识别范围,这也导致了窃取复制的指模、照片就算不完全精确,也有一定机会弄假成真、骗过识别算法。
难以加密
重要信息应该加密存储而不是明文,这是安全常识。
但加密也有可逆和不可逆之分。可逆加密顾名思义就是可以通过某种算法还原出明文,而不可逆加密则不能还原。比如常见的散列(哈希)算法,就是将任意长度的文本加密成固定长度的一串代码,并且无法还原。(散列碰撞的可能性这里暂时忽略,只提算法)
看不到明文,怎么判断密码的正确性呢?答案很简单,把用户输入的密码再做一次哈希,跟之前存储的一对比,如果一致的话就说明密码正确。
但哈希是一种差之毫厘谬以千里的算法。以常用的SHA-1为例,「123456」的结果是「7c4a8d09ca3762af61e59520943dc26494f8941b」,而「123457」则是「908f704ccaadfd86a74407d234c7bde30f2744fe」,没有一个字母是相同的。因此它只能应用于精确的密码或数字证书等,对于需要模糊对比的指纹、声纹、面部图像等则完全不适用。就算存储时用了加密算法,在对比阶段必须还原成明文,从而有了泄漏的可能性。
明文+无法修改,这意味着指纹一旦泄漏就是不可挽回的灾难。
综合以上四点,所有的生物因素认证基本都是不够安全也不该滥用的。
但这并不代表它不能用。
一般来说,在身份认证过程中为了提高安全性,所以我们在需要加强身份校验时会使用双因素认证。但双因素绝大部分情况下指的是「你知道的+你拥有的」,而极少有「你自身的」。
比如ATM取款,需要你拥有的银行卡+你知道的密码。
再比如一些私人重要帐号登录,需要你知道的密码+你拥有的手机接收到的验证码。
只有在少数历史遗留场合才仍然保留用户自身信息的验证,比如信用卡无密码签名,之所以我们能接受这种很不安全的方式,是因为风险转嫁给了银行,同时用严厉的法律来约束。
在已经有了足够安全的基本认证方式之后,才能用生物信息作为辅助手段在不重要的场合临时代替一下。
在操作系统重要功能时必须验证密码;
在设置或修改指纹信息时必须验证密码;
在涉及金融资产时,如果金额小于100~200元才允许使用指纹,超过则必须验证密码;特别大的金额还要使用短信验证、U盾或者银行柜台办理;
等等等等。
智能手机在重开机时验证密码、每隔固定时间要输入一次密码、指纹多次识别失败必须用密码解锁,都是出于同样的考虑:安全。
在同等技术条件下,安全和快捷是难以兼得的。在面对不可逆的长期隐患时,适当牺牲快捷而提高安全性才是负责任的行为
M小迷糊H
厂家为了安全出厂默认设置的。
虽然第一个在手机产品上加入指纹识别功能的是日本电信公司NTTDoCoMo(富士通),其在2003年7月推出的F505i,之后还有摩托罗拉在2011年推出的智能手机ME860,但是对这些产品来说,指纹识别只作为解锁用,仅仅只是代表一种概念,而非实用性。
如果说以前的指纹识别所承载的更多只是噱头,那么在2013年9月苹果发布iPhone 5s以后,这一功能就和我们的生活紧密联系在了一起,人们突然发现,指纹识别其实不仅仅是一种解锁的方式,所有需要用到认证和密码的地方,指纹识别都有用武之地。所以大家也能看到,现在的指纹识别已经颠覆了人们的手机使用方式和习惯。直到今年,似乎不搭载指纹识别的手机都不好意思说自己是智能手机了。
但是大规模应用已经3年了,手机等移动产品上的指纹识别技术却一直都还是电容式,虽然识别速度和精度都有了较大提高,但是电容式指纹识别的缺点却一直都无法解决:对于油污、水渍等异物毫无办法,耐用性差。所以汗手的人使用指纹识别非常痛苦,并且使用久了之后指纹识别模块精度会下降,这也是为什么虽然苹果等公司号称指纹识别模块会在用户的使用过程中不断完善指纹信息,以求更快的识别速度,但是使用久了之后,手机指纹识别反而会变迟缓的原因。
正因为传统电容式指纹识别的种种不足,所以今年越来越多的新式生物识别技术被提了出来,光是指纹识别技术就有了超声波指纹识别、光学指纹识别、活体指纹识别等一大堆,更别说还有虹膜识别和静脉识别这些新思路了。那么这么多技术摆在我们面前,哪个会是我们最终的答案呢?
光学指纹识别代表了未来?
每到这种需要引领行业变革的时候,大家都会把目光齐刷刷地投向苹果公司,确实,iPhone 8将配备光学指纹识别这个消息已经由来已久,但是据说苹果将使用的是叫做“静电透镜电容式指纹传感器”,有这种猜测也是因为前一段时间苹果递交了有关这个传感器的专利文件。虽然这一技术确实也能够做到将指纹识别模块嵌入屏幕下方并且有着更高的识别精度,但是本质上仍然是电容式指纹识别。
而大家翘首期盼的光学指纹识别,现在看来最有可能拔得头筹的是三星明年的旗舰Galaxy S8。同样,S8上使用的光学指纹识别模块可以做到嵌入屏幕下方,不过据说三星光学式指纹识别感测器良率现在并不高,距离S8发布还有数月的时间,三星应该还有时间去攻克技术难题。
其实光学指纹识别不是很罕见的技术,其问世时间比电容式指纹识别、超声波指纹识别还要早,常见的公司打卡机就基本上都是光学指纹识别。只不过光学式指纹识别感测器体积比较大,并且原理上来看是一种2D的图像识别方式,所以其实在精度、适用范围等方面并没有特别大的优势,这也是目前仍未能应用至智能手机等移动设备上的原因。
已经投入商用的新型指纹识别技术
当然,截至目前为止,已经有两种指纹识别技术早已落地——超声波指纹识别和活体指纹识别。超声波指纹识别由高通提出,名为Sense ID,商用之前其实是为美国政府开发的,可见其性能的优越性。不过超声波指纹识别的特性确实也没有让人失望,成像很好、分辨率高(电容式分辨率500DPI左右,超声波技术可超过700DPI),耐用性比电容传感技术好,更重要的是原生的3D扫描方案,可创建包含微小细节的指纹图像及活体检测,保证高识别度和安全性,现在那些依靠技术手段复制指纹的案例对于超声波指纹识别来说将不复存在。
今年秋季发布的小米5s就搭载了超声波指纹识别技术,但是因为可穿透玻璃的厚度仍然比较小,所以完全集成到屏幕下方还比较困难。并且超声波指纹识别的成熟度暂时比不上沿用已久的电容+RF射频模式,不过随着技术成熟度不断提升,未来还是非常值得期待。
另一个已经商用的活体指纹识别技术由国内厂商汇顶科技提出,依靠这个方案汇顶在A股市场也是创造了连续20个涨停版的奇迹,可见市场对这个技术的期待。生物指纹识别的原理就是通过电容+光学的双重检测,不但收集指纹信息,还可以通过光学部件结合皮肤颜色、心率信号进行综合鉴定,可以起到识别出复制指纹的作用。并且因为有监测心率的功能,所以还提供了一定的健康保障,宣传噱头十足。现在搭载了这类指纹识别模块的手机已经有天机 7 Max和魅族 Pro 6 Plus等机型。
生物识别可不仅仅有指纹
除了指纹识别,还有一些生物识别技术也很值得期待,比如虹膜识别。虹膜识别本来是三星十分看重的生物识别技术,在Note 7上其实就有搭载,但是因为最后Note 7不幸停产,所以虹膜识别的普及之路也受到了阻碍,之前就有消息称明年S8和LG G6都会搭载虹膜识别功能。
这一技术的原理也比较简单,用户先将自己的虹膜录入,虹膜外观特征会转化为虹膜密码储存,当用户试图用虹膜解锁手机时,红外 LED 与虹膜摄像头等检测设备将会同时启动,获取用户的虹膜信息,与已经存储的密码进行比对。根据三星Note 7上的演示,虹膜识别技术的解锁速度并不亚于指纹识别。
虹膜识别的一大优势也是唯一性,并且是绝对的不可复制,因为虹膜是不可脱离人体的,可复制性也基本为零。业界透露,虹膜识别误识率可低至百万分之一,与之相比,指纹识别误识率为 0.8 %。
其实除了以上这些方案,还有很多小众的生物识别技术,比如日立提出的静脉识别技术等,这里就不做探讨了。
从今年生物识别技术迎来爆发可以看出,不管是从安全性还是使用效率上来看,个人移动设备的身份识别技术已经迎来了瓶颈,我们现在亟需要更加优秀的生物识别方式,并且手机等设备的工业设计也是越来越激进,生物识别技术不仅仅要满足效率和安全性等问题,还需要面对集成进屏幕这样的挑战。
并且不难看出,各个识别技术其实都有各自的优越性,我们甚至很难下定论今后哪个技术会成为业界主流,但是这不失为一件好事,生物识别技术百花齐放的时代已经来临!
科技燕
简单说一下,这种方法是从安全系数上决定的。密码的可更改性是确保一旦密码泄露,可以马上更改,不受次数限制,安全系数高。生物识别如指纹识别、脸部识别等受次数限制,一旦泄露或者被复制,无法多次更改,不安全系数高。所以手机开机后只能输入密码开机,不能使用生物识别。
汾湖三尺浪
开机后第一次解锁需要密码是为了安全,也同时让你牢记密码。像vivo重启后或者关机再开机可以直接用指纹解锁虽然方便,但一定程度上降低了安全性
